ALBERTO RODRÍGUEZ: Bienvenidos a Riesgos 360º, el podcast de WTW, en el que hablamos de la gestión de los riesgos empresariales en primera línea con personas que se enfrentan a ellos día a día. Para aquellos que les suene raro lo de WTW, les recordamos que es la nueva denominación de Willis Towers Watson. Nos reinventamos para acercarnos a las necesidades de tu negocio y para ofrecerte la perspectiva que te impulsa. Os saluda Alberto Rodríguez, conductor de este espacio y sin más dilación, vamos a continuar con la segunda parte de nuestra conversación dedicada a los planes de continuidad de negocio.
En la entrega anterior, nos centramos en analizar impacto que tiene para una organización la parada de la actividad en los procesos críticos para el negocio, cómo medirlo y la importancia de contar con un plan de contingencias. En esta segunda parte, vamos a hablar de los planes de recuperación y de vuelta a la continuidad. Para ello se encuentran de nuevo con nosotros Inmaculada Ramírez y Laura Nogueira, consultora senior de nuestro equipo de gerencia de riesgos en WWE. ¿Qué tal? Inma y Laura, ¿cómo estáis? Me alegro de teneros de vuelta por aquí.
INMACULADA RAMÍREZ: Hola, Alberto. Igualmente. Un placer.
ALBERTO RODRÍGUEZ: Bueno, pues vamos a continuar como decía, con esta conversación, que es súper interesante, con esta segunda parte. Ya tenemos nuestro análisis realizado de esa pupa, si me permitís la expresión, que nos puede hacer una parada de la actividad y llega el momento de reflexionar, sobre cómo vamos a responder y cómo vamos a coordinar las actividades para la recuperación de ese daño. Laura, me dirijo a ti. ¿Qué debe tener un buen plan de recuperación?
LAURA NOGUEIRA: A ver, muy importante. En los planes, saber también que no siempre tendremos todos los planes de todos los posibles escenarios existentes, en una empresa. Pero una vez que tenemos un plan ya identificado para un posible escenario de destrucción, el plan debe describir las actividades para que se pueda conseguir que el proceso de negocio alcance un nivel mínimo de servicio predefinido. Sabemos que hay procesos que o se hace o no se hace, o se produce o no se produce, pero hay procesos que sí tienen un nivel mínimo y ahí es el principal objetivo, de restablecer este nivel mínimo. Cada plan debe cumplir el RTO que decimos. Es del tiempo objetivo de recuperación, pero para alcanzar ese tiempo objetivo de recuperación, es muy importante tener en cuenta también todos los procesos que están asociados a este proceso que hubo la disrupción. Un ejemplo, yo no puedo restablecer un proceso en 8 horas, cuando depende de otros procesos que tardan 24 horas o 2 días para restablecerse.
Entonces, toda esta cadena de los procesos tiene que estar bien identificada y definida. Cada proceso debe tener muy claro las tareas, los responsables, los plazos bien descritos, de forma que una persona ajena a este proceso, pueda ejecutarlo. Sabemos también que en estos procesos tienen siempre personas que son responsables previamente definidas, pero si por algún motivo esta persona no está disponible, la descripción del plan tiene que ser tan sencilla, objetiva y tener el nivel de detalle, que una persona ajena puede poner en práctica este plan de recuperación.
Además de este plan de recuperación, tenemos planes que son asociados a un proceso de gestión de continuidad de negocio, que hablaremos un poco más en las siguientes preguntas, pero para ejemplificar, tenemos el plan de vuelta a la normalidad, que viene después de un proceso de recuperación. El plan de gestión de crisis, que normalmente es activado a la vez que el plan de recuperación, porque efectivamente es gestionar esta crisis, queremos tener la disrupción, el plan de comunicación, que va una vez que tenemos la contingencia, hasta el final de la incidencia y el plan de pruebas, que es un plan que viene antes de la idea, poner pruebas, hacerlo antes del plan de repaso. Probar si este plan de recuperación funcionaría y una vez ejecutado, actualizarlo siempre con las informaciones que hemos obtenido una vez ejecutado el plan de recuperación.
ALBERTO RODRÍGUEZ: Pues yo me quedo entonces un poco con estas 3 cosas que has dicho. Es decir, con que no se puede tener todo absolutamente controlado, pero este plan va a intentar cubrir la mayoría de los escenarios posibles. También con que hay que tener en cuenta efectivamente a la hora de hacer una estimación de plazos los procesos que son condicionantes, porque no se puede hacer una estimación de 8 horas, si para ello se requiere de otro proceso que dure 24. Y por supuesto, que es sentido común que la forma en la que esté redactado este plan, lo sea de una forma que cualquier persona ajena en este sentido pueda leerlo y ejecutarlo. Es decir, que esté redactado con el detalle suficiente para que no haya lugar a dudas a la hora de ejecutarlo. Y cuáles son las etapas de activación de un plan de recuperación real.
LAURA NOGUEIRA: Vale, una vez tenemos la contingencia, el incidente, lo primero que hacemos es invocar el plan. Junto con eso viene la gestión de crisis, que es lo que he dicho. Ya tenemos la crisis instaurada, invocamos el plan y hacemos a la vez la invocación del plan y la gestión de crisis. Invocamos el plan y enseguida convocamos al comité de continuidad, que son personas que ya están definidas, que son responsables por este comité de continuidad y a esas personas analizarán la incidencia. Identificarán si es una incidencia que se puede contener o si efectivamente tiene que activar el plan de recuperación. Si es una incidencia que se puede contener, pues nada, se replanifican las actividades según las necesidades, se documenta todo lo que se ha hecho, se revisan lecciones aprendidas, se documenta y ya está, se cierra. Pero una vez que no se puede contener, deberemos de ir a una estrategia de recuperación.
Este comité selecciona una estrategia de respuesta ante este incidente, coordina las actividades para esta recuperación con las personas responsables para restablecer el proceso. Siempre que estamos ejecutando un plan de recuperación, informamos periódicamente la ejecución a este comité de cada estado de evolución, de actividades concluidas.
ALBERTO RODRÍGUEZ: Mjm.
LAURA NOGUEIRA: A la vez comunicamos a los grupos de interés de todo lo que se está ejecutando y todos los resultados obtenidos en este plan de recuperación. Terminamos el plan de recuperación y coordinamos ya el plan de vuelta a la normalidad. Que puede ser una nueva normalidad, como hemos hablado en el podcast anterior, o puede ser en la normalidad anterior. Efectivamente volver al estado que teníamos y al 100% de nuestra productividad. Declaramos el fin de la contingencia, todo eso desde principio hasta el final, gestionando por los responsables de gestión de crisis y muy importante, documentamos todo lo que hemos hecho, todas las etapas con tiempos, resultados obtenidos. Mejoramos los planes anteriormente definidos, porque muchas veces lo que ejecutamos no era lo que estaba planeado, aunque trabajemos lo máximo posible para identificar una posible circunstancia. Puede ser que no pase exactamente como hemos planificado.
Entonces, documentamos todo lo que hemos hecho, el suceso que hemos obtenido, para tener un plan lo más real posible y damos fin a la contingencia, y ya con el plan de continuidad establecido y ejecutado.
ALBERTO RODRÍGUEZ: ¿Qué de cierto es que muchas veces la realidad no es conforme a lo que se había planificado? Y yo creo que es una de las partes más complicadas, muchas veces hacer un pronóstico teorizando y es muy importante, precisamente estas lecciones aprendidas. Porque es la mejor manera de actualizar estos planes y estar más pegados a la realidad. Y comentabas en estas etapas, toda la comunicación que se hace tanto al comité, como también a los grupos de interés y aquí es donde yo también quiero poner foco ahora, porque claro, en paralelo a este plan de recuperación, se llevan a cabo estas labores de comunicación y también de gestión de la crisis. Y ahora me dirijo a ti, Inma. ¿Cómo deberían realizarse estas labores para conseguir el mejor resultado?
INMACULADA RAMÍREZ: Pues efectivamente, una vez ocurre incidente, realmente lo primero que se activa y se debe activar es la gestión de crisis. Que es una parte de como decía Laura, del plan de continuidad de negocio. La gestión de crisis lo que hace es describir las acciones más inmediatas, los roles implicados en esa primera instancia, y lo que pretende es mitigar el primer impacto del incidente. Por ello, además, va muy ligado como bien indicabas, a las labores de comunicación, que efectivamente pueden y deben estar previamente definidas en la medida de lo posible, en el correspondiente plan de comunicación. La comunicación tanto interna hacia empleados y familiares de tus empleados, según lo que haya ocurrido, como externa, hacia grupos de interés diversos, es básica y en el mundo de hoy más que nunca, para el éxito de la gestión de la crisis y de la continuidad del negocio.
Los planes de comunicación deben considerar también la estrategia de respuesta, a todos esos posibles colectivos interesados en recibir o transmitir información de lo que está ocurriendo. Es cierto que una organización puede decidir en cada momento si comunica, si no comunica y qué comunica o qué no comunica. Pero sí que es cierto que también ayuda en gran medida, tener previamente definidas pues una serie de directrices de comunicación, incluso unos mensajes tipo en función de lo que nos pueda ocurrir. También haber seleccionado una serie de portavoces, también para cada grupo de interés, en función de lo que nos ocurra y en función del grupo de interés al que nos estemos dirigiendo y, como todo, cuanto más preparado tengamos esas labores, cuanto más preparadas las tengamos, la respuesta normalmente es más exitosa.
Es muy importante para poder contener la crisis, que estas labores de comunicación y de gestión de crisis vayan de la mano. Y efectivamente, tal vez no haga falta ir más allá, e invocar, como decía Laura, en las fases que nos explicaba anteriormente, que no haga falta llegar a invocar plan de recuperación y que podamos solventar lo que nos ha ocurrido en ese ambiente de primera instancia, que es la gestión de la crisis como tal y, por lo tanto, no haga falta ir más allá con los planes de recuperación. Y eso siempre será positivo, porque habremos contenido el incidente de una forma eficiente con un plan de gestión de crisis que es positivo para la continuidad de la actividad.
ALBERTO RODRÍGUEZ: Sin duda. Como ya hemos visto además anteriormente en las entregas de este podcast, las primeras horas en la gestión de una crisis empresarial, son cruciales para la buena marcha de esa contención, y más en una sociedad globalizada y con acceso a las redes sociales, donde cada vez más, bueno, pues los usuarios manifiestan su opinión y pueden lanzar sus mensajes a favor y en contra hacia una marca. Es fundamental y considero muy útil, el que se cuente como nos estás indicando, con una serie de pautas y también que se sepa elegir a los portavoces. Porque un portavoz con criterio, que sepa de lo que está hablando y que traslade esa confianza a la audiencia, yo creo que siempre va a ser una ayuda inestimable, a la hora de que una empresa salga bien parada. Sobre todo, como ya digo, a la hora de gestionar una crisis.
Como hemos visto en otros aspectos medioambientales, riesgos financieros, de directivos y un poco de esta índole. Bueno y una vez que tenemos todo el conjunto de elementos, que hemos hablado dentro de este plan de continuidad global, pues esto, el Business Impact Analysis, el plan de recuperación, el plan de comunicación, el plan de gestión de crisis. Bueno, pues habrá que probar que todos ellos funcionen correctamente dentro de este contexto. ¿No, Inma?
INMACULADA RAMÍREZ: Eso es como antes hablábamos, de las etapas de activación de un plan de recuperación real y cómo el fin de esa contingencia nos debe llevar a una serie de lecciones aprendidas, pues de igual manera, en las pruebas de un plan de continuidad de negocio, nos ayudan a ver posibles fallos de los planes que hemos previsto inicialmente y a poder mejorarlos antes de que nos ocurra el incidente. Por eso es muy importante que todos los planes de recuperación que se hayan establecido en el marco de la continuidad de negocio se prueben mediante simulacros o al menos pruebas de escritorio a diversos niveles. También es cierto que no todas las organizaciones cuando desarrollan un plan de continuidad de negocio están preparadas para llevar a cabo una prueba real de sus planes de recuperación, y tienen que tomarse su tiempo en formarse y en concienciarse, en la continuidad de negocio que han desarrollado en la organización, para cuando tengan la madurez suficiente, poder llevar a cabo una prueba lo más real posible.
Por ello recomendamos empezar siempre por unas pruebas de escritorio o un simulacro, digamos un poco teatralizado, de una posible crisis de continuidad de negocio, que obligue a activar estos planes, con el objetivo de verificar que la estrategia que se ha diseñado y que sigue en los planes de recuperación es la adecuada. Además, como decía antes, nos brinda la oportunidad de identificar y prevenir incidencias durante la ejecución de los planes de continuidad, de una forma previa a que tengamos que utilizarlos. Y bueno, es muy recomendable que siempre contengan los elementos críticos y en la medida de lo posible, simulen condiciones normales.
Aunque es cierto, que como decía al principio, no se pretende alterar la actividad de la organización mediante una prueba, sino todo lo contrario. Que procuremos alterar la actividad normal lo mínimo posible, pero que sí que nos sirvan para tomar lecciones de mejora de los planes que se han establecido. Como decimos siempre, el papel todo lo aguanta y, por lo tanto, es muy, muy necesario llevar a cabo estas pruebas, estos simulacros, para ver si lo que hemos escrito es realmente lo que hacemos cuando nos ocurre un incidente determinado, y también efectivamente, medir si los tiempos que habíamos establecido.
Si recordáis hablábamos en el anterior podcast del análisis de impacto en negocio. Pues esos tiempos que os teníamos en ese análisis, son realmente en tiempos reales. Cuando nos ocurre algo van a ser esos parámetros que nos van a guiar o no, o hemos sido demasiado optimistas o pesimistas en el cálculo de estos.
ALBERTO RODRÍGUEZ: Recuerdo de nuestra conversación anterior, que comentabais que este proceso debe estar vivo, en otras palabras, mantenido. Esta revisión, ¿por parte de quién debe llevarse a cabo y cada cuánto tiempo, Laura?
LAURA NOGUEIRA: A ver, en las empresas solemos tener responsables por cualquier área de negocio, que son los que llevan el sistema, de continuidad de negocio, pero necesitamos implicar las personas para actualizar estos planes, estas pruebas que ha dicho Inma. Y este es uno de los problemas, el mantenimiento de los planes, la actualización de las informaciones suele ser uno de los problemas, porque a la vez hacemos el plan, damos por hecho que ya está hecho, que ya está, pero no es así.
La actualización debe ser efectiva, sugerimos, ¿no? Anualmente, como mínimo. Y cuando se produce algún cambio en la empresa, sea estructurado, organizacional o cuando ocurra un incidente, que es una excelente hora para actualizar las informaciones que tenemos, que efectivamente ejecutamos.
Además de eso, la organización debe realizar auditorías internas, para probar efectivamente si el sistema de gestión de continuidad de negocio estás en efectivo. Si está debidamente implantado, si los documentos están siendo actualizados. Entonces ahí ya tenemos 3 oportunidades de actualización de los planes. Y además de todo esto que estoy diciendo, la dirección de la empresa y la dirección los mandos medios y la otra dirección debe implicarse, porque la continuidad de negocio es una cultura que debe estar en el día a día de la empresa. Entonces, los planes, todo el sistema de gestión tiene que ser anualmente como mínimo actualizado, de acuerdo con esta cultura que debemos implantar, y que cada persona hace el papel de ejecutar la continuidad de negocio en su día a día.
ALBERTO RODRÍGUEZ: Bueno, pues me quedo con eso fundamentalmente, que la cultura de negocio tiene que estar presente en el día a día. Pues, para terminar, me gustaría, como hicimos la otra vez, pediros si podemos compartir, si podéis compartir con nosotros algún ejemplo real que nos ayude a ilustrar todo esto que estamos hablando.
INMACULADA RAMÍREZ: Pues sí, Alberto. La verdad es que, pues es una realidad que, de un tiempo a esta parte, se están produciendo acontecimientos que están poniendo en riesgo la continuidad ya no solo de las empresas, sino del mundo de forma global. Al final, digamos que estamos viendo que la continuidad de negocio está trascendiendo de ese ámbito más empresarial, a ser una disciplina con una dimensión estratégica muy importante. Y lo hemos visto bueno, ¿qué podemos decir? Pues la pandemia, la crisis del canal de Suez, la crisis de suministro de microcomponentes a nivel mundial.
ALBERTO RODRÍGUEZ: Eso es.
INMACULADA RAMÍREZ: Hoy en día, sin ir más lejos pues la guerra que estamos viviendo en el corazón de Europa y que está supliendo también, bueno, parte del drama humano de toda guerra, pues una crisis para muchas empresas, cuyos proveedores están en Ucrania. Nos hablaba, sin ir más lejos, un cliente el otro día, pues que tiene que buscar alternativa, porque su proveedor habitual de chapa es ucraniano y evidentemente pues ahora mismo es imposible contar con este suministro.
ALBERTO RODRÍGUEZ: Claro.
INMACULADA RAMÍREZ: Entonces, digamos que la continuidad de negocio es una forma de prepararnos para anticiparnos a este tipo de crisis, que evidentemente no todas se pueden prever y como decía Laura al comienzo de este podcast, los planes de negocio no dan respuesta a todo tipo de situaciones, pero sí que es verdad que no nos preparan para anticiparnos a cualquier tipo de crisis.
Y, además, nos ayudan a ser capaces de convertir esas crisis en oportunidades. Ahora mismo con la crisis de suministros que estamos viviendo, pues pasamos de a lo mejor de tener proveedores de trigo en el centro de Europa, pues a lo mejor es una oportunidad para otros países de Latinoamérica, por ejemplo, incluso para España mismo. Y las empresas tienen que estar ahí atentas a aprovechar esas oportunidades y a ver posibles alternativas de suministro.
Así que cuanto más preparados estemos para cualquier tipo de crisis, podremos anticiparnos de una manera más efectiva ante una situación como la que estamos viviendo. Sin ir más lejos, también la huelga de transporte que estamos viviendo en España, y como ya vemos que hay falta de suministro en los supermercados, pues igualmente nos demuestra, si bien es verdad que ante un paro total difícil solución tienen las empresas, sí que se puede trabajar en diferentes vías de tener diversos proveedores de transporte, no trabajar con un único proveedor logístico, sino con varios, para poder llegar en caso de que uno te falle, pues tener esa posibilidad, esa alternativa.
También ejemplos que vemos y que enlaza un poco con lo que decía al principio. Ya no solo es una cuestión empresarial, sino que estamos viendo que se convierte en una cuestión que va más allá. El plan de seguridad nacional de España tiene entre sus acciones, una llamada a la continuidad de gobierno, cómo garantizar desde los gobiernos la continuidad de las industrias clave para la vida de la...
ALBERTO RODRÍGUEZ: Para la sociedad.
INMACULADA RAMÍREZ: Las personas, efectivamente, para la sociedad, discúlpame. Efectivamente. Cómo garantizar el suministro de gas, el suministro de electricidad, el suministro de agua, los servicios críticos como son los hospitales, las infraestructuras. Es decir, que eso también es continuidad. Entonces, digamos que lo estamos viviendo en el día a día, y antes era algo a lo mejor que podía ser más de un negocio concreto, y ahora vemos que es una cuestión que tiene una dimensión mucho mayor.
ALBERTO RODRÍGUEZ: Sí, sí. Ya veo que no se retrotrae solo a la esfera de la empresa privada o, bueno, de la empresa pública, sino que, considerando al estado como una gran empresa pública fundamentalmente, pues también tiene cabida este tipo de planes de continuidad. Lo que está claro es que los tiempos convulsos que nos está tocando vivir como sociedad, están siendo la mejor escuela para todos los profesionales que tienen que enfrentarlos en su día a día, y que se tienen que encargar de realizar este tipo de planes. Pues Inma y Laura, muchísimas gracias por este rato que hemos compartido. Por mi parte no tengo ninguna duda más y simplemente pues eso, agradeceros que hayáis compartido con nosotros vuestras enseñanzas en esta segunda parte.
INMACULADA RAMÍREZ: Muchas gracias. Alberto, un placer.
ALBERTO RODRÍGUEZ: Gracias a vosotras siempre. Y a los oyentes de Riesgos 360º deciros que os esperamos en el próximo episodio, para seguir hablando de la gestión de riesgos empresariales.
LOCUTOR: Gracias por escuchar Riesgos 360º. Recuerda que puedes encontrar más contenido sobre gestión de riesgos, en nuestro blog WTW Update y en nuestro canal de LinkedIn y Twitter de WTW España. Anticípate y convierte el riesgo en un camino hacia el crecimiento.
